Ewolucja ransomwareu

Był rok 1971, kiedy na ekranach komputerów działających pod kontrolą systemu TENEX zaczął pojawiać się komunikat: „Jestem pełzacz, złap mnie, jeśli zdołasz”. Autorem niewinnego żartu był Bob Thomas, pracownik BNN Technologies, a napisany przez niego program Creeper (po polsku: pełzacz) uzyskiwał dostęp przez sieć wojskową ARPANET (przodka dzisiejszego internetu) i potrafił skopiować się do dowolnego systemu zdalnego. Creeper jest uważany za najstarszy wirus komputerowy, jednak w istocie był pierwszym eksperymentalnym programem samoreplikującym się.

Pierwszym wirusem żyjącym „dziko” był Elk Cloner. Napisany w 1982 r. przez piętnastoletniego Richarda Skrenta w celu infekowania systemów Apple DOS 3.3, rozprzestrzeniał się w sposób niekontrolowany przez dyskietki. Poza nadpisywaniem dyskietek zabawnym wierszykiem nie wyrządzał poważnych szkód, jednak kamień węgielny pod wirusy komputerowe w znanej nam dziś postaci został położony – Elk Cloner rozprzestrzeniał się bowiem w sposób niekontrolowany.

Cztery lata później bracia Basita i Amjada Farooq Alvi z Pakistanu opracowali Brain – pierwszego wirusa na pecety. On także nie został napisany po to, by stanowić konkretne zagrożenie. Kilka lat wcześniej bracia stworzyli program do monitorowania akcji serca, który okazał się popularny wśród piratów. Aby dać im nauczkę, opracowali Brain, który infekował komputery na całym świecie, atakując pierwszy sektor dyskietek włożonych do zarażonych komputerów. Co ciekawe, autorom wirusa wcale nie zależało na anonimowości – w kodzie programu zostawili swoje nazwiska, adres i… numery telefonów.

Jak widać, prahistoria wirusów wyglądała bardzo niewinnie, a pierwsze tego rodzaju programy, pisane przez młodych programistów chcących popisać się swoimi umiejętnościami, służyły przede wszystkim zabawie i nikomu większej szkody nie wyrządzały. Przed długie lata ewolucji (wirusom stuknie wkrótce pięćdziesiątka!) programy te przybierały coraz bardziej wyrafinowane formy, zwiększały swój zasięg i z czasem przybrały znaną nam dziś postać: niebezpiecznych narzędzi służących do wykradania poufnych danych, szpiegostwa gospodarczego, paraliżowania pracy systemów w instytucjach i przemyśle, wykradania pieniędzy z kont bankowych czy wymuszania okupu.

To właśnie programy wymuszające zapłatę są najpopularniejszym i najgroźniejszym zagrożeniem internetowym ostatniej dekady. Eksperci ds. bezpieczeństwa cyfrowego są zgodni: infekcje programów żądających okupu osiągają dziś rozmiar pandemii. Ransomware, bo tak nazywa się typ programów szantażujących, działa w sposób przebiegły – blokuje podstawowe funkcje komputera, a potem zmusza użytkownika do zapłacenia haraczu w zamian za przywrócenie kontroli nad systemem operacyjnym i dostępu do danych. O tego rodzaju złośliwym oprogramowaniu zrobiło się głośno w ubiegłym roku, kiedy złośliwy wirus WannaCry, wykorzystując lukę w zabezpieczeniach Windowsa, zaatakował 200 tysięcy komputerów w ponad 100 krajach. Ofiarami hakerów padła wówczas m.in. brytyjska służba zdrowia, rosyjskie banki, indyjskie linie lotnicze, włoskie uniwersytety i największe firmy na świecie.

Choć nowy typ złośliwego oprogramowania stał się szeroko znany dopiero za sprawą ataku WannaCry, jego historia jest dużo dłuższa. Sięga bowiem końca lat 90. i naukowca z Harvardu – Josepha L. Poppa, który wysłał napisanego przez siebie wirusa do 20 tysięcy kolegów po fachu – m.in. uczestników konferencji Światowej Organizacji Zdrowia dotyczącej AIDS. W dzisiejszych czasach ransomware dostaje się do komputerów głównie jako załącznik do poczty udający faktury lub poprzez zainfekowane strony WWW. 29 lat temu, czyli w erze offline, koń trojański AIDS przybył do swoich ofiar pocztą tradycyjną – na 5,25-calowych dyskietkach. Ukryte funkcje programu sprawiały, że po dziewięćdziesiątym restarcie komputera program szyfrował dane znajdujące się na dysku i żądał włączenia drukarki, która po uruchomieniu drukowała list z żądaniem okupu. Użytkownicy mieli przesłać kwotę 189 dolarów na adres skrzynki pocztowej w Panamie w zamian za przesłanie narzędzia odszyfrowującego dane.

Popularyzacja internetu stała się wodą na młyn cyberprzestępców specjalizujących się w tworzeniu wirusów służących do wymuszania haraczu. Początkowo zyski z tego rodzaju działalności były raczej niewielkie – programy te można było dość łatwo wykryć i usunąć za pomocą oprogramowania antywirusowego, co oznaczało „krótki termin spożycia”, czyli czas na ściąganie okupu. Z czasem jednak ransomware w wersji online zaczął przyciągać coraz większą uwagę hakerskiego świata.

W roku 2005 wraz z pojawieniem się groźnego GpCode infekującego systemy Windows i celującego w pliki z konkretnymi rozszerzeniami rozpoczęła się prawdziwa historia ransomware’u. GpCode usuwał oryginały, a nowe pliki zapisywał z użyciem silnego szyfrowania RSA-1024 – bez klucza praktycznie nie do złamania. Pliki dało się oczywiście odzyskać – za pieniądze. Dwa lata później na arenę wszedł wirus WinLock, który działał w nowy sposób: całkowicie przejmował ekran komputera ofiary i wyświetlał na nim treści pornograficzne, a następnie żądał haraczu w postaci płatnej wiadomości SMS.

Kolejną generacją złośliwego oprogramowania był ransomware podszywający się pod organa ścigania, tzw. policyjny. Wirus Reveton pojawił się w 2012 r. i straszył swoje ofiary pozorowaną informacją, pochodzącą rzekomo od policji czy służb bezpieczeństwa, że niezapłacenie kary za użycie komputera do nielegalnej działalności (np. ściągania pirackich plików czy rozpowszechniania dziecięcej pornografii) grozi trwałą blokadą urządzenia. Przestraszeni użytkownicy karnie płacili haracz.

W 2013 r. pojawił się CryptoLocker, który ponownie wprowadził do gry oprogramowanie szyfrujące, jednak w nowej, szczególnie złośliwej postaci. CryptoLocker korzystał z algorytmów szyfrujących klasy wojskowej, a klucz wymagany do odblokowania plików przechowywał na zdalnym serwerze. Wraz z nadejściem ery kryptolokerów, które działały już nie poprzez blokowanie dostępu do przeglądarek i systemów operacyjnych, ale za pomocą szyfrowania lokalnych plików, liczba ataków programów żądających okupu rosła jak na drożdżach. Rolę skrzynki pocztowej w Panamie, do której niegdyś wysyłano okup, zaczęła pełnić cyfrowa waluta Bitcoin. System płatności, którego nie można wyśledzić czy poddać regulacjom, jest wprost idealny do pozyskiwania haraczu.

Z czasem celem ataków złośliwego oprogramowania szyfrującego, oprócz pecetów stały się również systemy macOS, Linux i Android. Obecna skala zagrożenia jest piorunująca – miesięcznie jest dziś infekowanych od 30 do 50 tysięcy komputerów, a statystyki wskazują, że liczba ataków każdego roku zwiększa się kilkukrotnie. Nowym zagrożeniem jest RaaS (Ransomware as a Service) – bardzo niebezpieczny model dystrybucji złośliwego oprogramowania, który pozwala na czerpanie zysków z ataków przeprowadzanych przez inne osoby, a nie samych autorów oprogramowania.

Aby się obronić przed złośliwym oprogramowaniem szyfrującym, należy tworzyć kopie zapasowe, używać solidnego programu zabezpieczającego, wyposażonego w komponent blokujący ransomware, zanim malware zdoła zaszyfrować pliki. Trzeba również regularnie aktualizować oprogramowanie i śledzić wiadomości z cyberświata. A gdy dojdzie do ataku, nie płacić okupu i zgłosić się do specjalistów.

PC Format: Mimo że ransomware miał już swój szczyt popularności, czy wciąż powinniśmy obawiać się wirusów szyfrujących?

Robert Dziemianko (G Data): Falę wzrostową tego rodzaju zagrożeń mamy już dawno za sobą. Rynku wirusów nie omijają mody czy raczej trendy napędzane tym, w jakim obszarze w danym momencie najłatwiej jest zarobić pieniądze. Popularność ransomware’u ograniczają także działania producentów antywirusów. Cyberprzestępcom coraz trudniej zainfekować komputer, dlatego przerzucają się na inne rodzaje wirusów, które są łatwiejsze do zmonetyzowania i dystrybucji, jak np. koparki kryptowalut, szczególnie popularne w tym roku. Jednak należy pamiętać o tym, że na liście Top 10 zagrożeń w polskim internecie wciąż możemy znaleźć złośliwe oprogramowanie szyfrujące nasze pliki. A konsekwencje infekcji są ogromne, zarówno dla użytkowników domowych (zdjęcia, pliki), jak i biznesowych (bazy danych, know-how).